超级会员免费看
系统入侵后的清理、恢复与案例分析
1. 入侵后的初步检查
1.1 查找无主文件
攻击者有时会在文件系统中留下无主文件,即这些文件的 UID 或 GID 与 /etc/passwd 和 /etc/group 文件中的任何条目都不对应。造成这种情况的原因可能是攻击者创建了一个账户和一些文件,然后删除了该账户,但文件仍保留;或者攻击者在修改磁盘上的原始索引节点时意外更改了 UID。
可以使用 find 命令来查找这些文件,具体操作如下:
- 非 NFS 系统:
# find / -nouser -o -nogroup -print
- NFS 系统:需要在每个服务器上运行以下命令
# find / \( -local -o -prune \) -nouser -o -nogroup -print
除了攻击者的行为,删除 /etc/passwd 文件中的用户但保留其部分文件,或者从其他系统加载 tar 或转储磁带并指定将恢复文件的所有者设置为存档所有者,也可能导致无主文件的出现。建议定期扫描无主文件,将其复制到磁带上(以防日后需要),然后从系统中删除。
1.2 检测新的网络服务
许多入侵者会安装网络守护进程,以便在后续为受攻击的主机提供后门访问,或者将该主机用作
订阅专栏 解锁全文
扫一扫
23
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
